Giriş
Sanal Özel Ağlar (VPN'ler), internet bağlantılarını güvence altına almak, uzak ağlara erişmek ve hassas verileri korumak isteyen işletmeler ve bireyler için temel araçlar haline gelmiştir. Sağlam özellik setleri ve maliyet etkinliği ile bilinen MikroTik yönlendiricileri, farklı güvenlik ihtiyaçlarına ve kullanım senaryolarına hitap eden çeşitli VPN uygulama seçenekleri sunar.
Bu kapsamlı rehberde, MikroTik yönlendiricinizde çeşitli VPN çözümlerini kurma sürecinde size yol göstereceğiz. İster güvenli noktadan noktaya bağlantılar kurmak isteyen bir ağ yöneticisi olun, ister ev ağınıza uzaktan erişmek isteyen bir birey olun, bu makale size MikroTik cihazınızda VPN hizmetlerini başarıyla uygulamanız için bilgi ve adım adım talimatlar sağlayacaktır. TildaVPS, bu rehberde tartışacağımız VPN çözümlerini uygulamak için mükemmel optimize edilmiş MikroTik sunucuları sunarak ağ ihtiyaçlarınız için güvenilir ve güvenli bağlantılar sağlar.
Bölüm 1: MikroTik Üzerindeki VPN Türlerini Anlamak
MikroTik'te Mevcut VPN Seçenekleri
MikroTik RouterOS, her biri kendi güçlü yönlerine ve ideal kullanım senaryolarına sahip çeşitli VPN protokollerini destekler. Yapılandırmaya geçmeden önce, ihtiyaçlarınıza en uygun protokolü anlamak önemlidir.
OpenVPN, güvenlik ve performans arasında iyi bir denge sunan açık kaynaklı bir VPN protokolüdür. Anahtar değişimi için SSL/TLS kullanır ve hem UDP hem de TCP üzerinden çalışabilir. OpenVPN yüksek derecede yapılandırılabilir ve çoğu güvenlik duvarını atlayabilir, bu da onu birçok senaryo için çok yönlü bir seçim haline getirir.
IPsec (Internet Protokol Güvenliği), her IP paketini doğrulayarak ve şifreleyerek güvenli IP iletişimi sağlar. Platformlar arasında geniş çapta desteklenir ve son derece güvenli kabul edilir, bu da onu şube ofisleri arasındaki noktadan noktaya VPN bağlantıları için ideal kılar.
L2TP/IPsec, Katman 2 Tünelleme Protokolü'nü IPsec şifrelemesiyle birleştirir. Bu protokol, Windows, macOS, iOS ve Android dahil olmak üzere çoğu işletim sistemi tarafından doğal olarak desteklenir, bu da onu uzak erişim VPN'leri için uygun hale getirir.
PPTP (Noktadan Noktaya Tünelleme Protokolü), en eski VPN protokollerinden biridir. Kurulumu kolay ve hızlı bağlantılar sunsa da, güvenliği zayıftır, bu da onu yalnızca kolaylığın güvenlik endişelerinden ağır bastığı hassas olmayan uygulamalar için uygun hale getirir.
SSTP (Güvenli Yuva Tünelleme Protokolü), TCP 443 numaralı bağlantı noktası üzerinden SSL kullanır ve bu sayede çoğu güvenlik duvarı ve proxy sunucusundan geçebilir. İyi bir güvenlik seviyesi sağlar ancak öncelikli olarak Windows platformlarında desteklenir.
WireGuard, basitliği, yüksek performansı ve modern kriptografisi ile bilinen daha yeni bir protokoldür. MikroTik, RouterOS v7'de WireGuard desteğini ekleyerek, en son aygıt yazılımını kullananlar için mükemmel bir seçenek haline getirmiştir.
MikroTik Üzerinde VPN Kullanmanın Faydaları
Gelişmiş Güvenlik: VPN'ler, verilerinizi şifreleyerek, özellikle halka açık Wi-Fi ağlarını kullanırken, gizlice dinlenmelerden ve ortadaki adam saldırılarından korur.
Uzaktan Erişim: Ev veya ofis ağ kaynaklarınıza dünyanın herhangi bir yerinden güvenli bir şekilde erişin.
Noktadan Noktaya Bağlantı: Birden fazla ofis konumunu internet üzerinden güvenli bir şekilde bağlayarak birleşik bir ağ oluşturun.
Coğrafi Kısıtlamaları Atla: Farklı coğrafi konumlardaki VPN sunucularına bağlanarak bölge kısıtlı içeriğe erişin.
Ağ Segmentasyonu: Kuruluşunuz içinde farklı departmanlar veya amaçlar için güvenli, izole edilmiş ağ segmentleri oluşturun.
Doğru VPN Protokolünü Seçmek
MikroTik kurulumunuz için en iyi VPN protokolü, özel gereksinimlerinize bağlıdır:
- Maksimum uyumluluk için (cihazlar arasında): L2TP/IPsec
- Kurumsal ortamlarda en yüksek güvenlik için: IPsec
- Esneklik ve iyi güvenlik-performans dengesi için: OpenVPN
- Modern, yüksek performanslı ihtiyaçlar için: WireGuard (RouterOS v7+)
- Windows istemcilerle basit kurulum için: SSTP
Mini-SSS
Hangi VPN protokolü MikroTik üzerinde en iyi performansı sunar?
WireGuard, hafif tasarımı ve verimli kriptografisi nedeniyle genellikle en iyi performansı sunar, bunu UDP ile OpenVPN takip eder. Ancak, performans belirli donanım ve ağ koşullarınıza göre değişebilir.
MikroTik yönlendiricimde aynı anda birden fazla VPN protokolü çalıştırabilir miyim?
Evet, MikroTik RouterOS aynı anda birden fazla VPN protokolü çalıştırmanıza izin verir. Bu, farklı istemci cihazlarını desteklemek veya bir protokol engellenirse yedek seçenekler sağlamak için kullanışlıdır.
Bölüm 2: MikroTik Üzerinde VPN Kurulumu İçin Ön Koşullar
Donanım ve Yazılım Gereksinimleri
MikroTik yönlendiricinizde bir VPN kurmadan önce, aşağıdaki ön koşulların yerine getirildiğinden emin olun:
Donanım Gereksinimleri:
- VPN şifrelemesi/şifre çözmesi için yeterli işlem gücüne sahip bir MikroTik yönlendirici. Yoğun VPN kullanımı için, RB4011 veya CCR serisi gibi çok çekirdekli işlemcilere sahip modelleri göz önünde bulundurun.
- Yeterli RAM (birden fazla VPN bağlantısı için en az 256MB önerilir)
- VPN ihtiyaçlarınız için yeterli bant genişliğine sahip istikrarlı internet bağlantısı
Yazılım Gereksinimleri:
- Seçtiğiniz VPN protokolüyle uyumlu RouterOS sürümü (v6.45+ önerilir, WireGuard için v7+)
- Güvenlik yamalarının uygulandığından emin olmak için en son kararlı sürüme güncellenmiş olması
- Seçtiğiniz VPN protokolünü destekleyen geçerli bir lisans seviyesi (çoğu VPN özelliği en az Seviye 4 gerektirir)
Ağ Gereksinimleri:
- Genel IP adresi (tercihen statik) veya düzgün yapılandırılmış DDNS hizmeti
- MikroTik'iniz başka bir yönlendiricinin arkasındaysa uygun bağlantı noktası yönlendirme
- VPN trafiğine izin vermek için düzgün yapılandırılmış güvenlik duvarı kuralları
İlk Yönlendirici Yapılandırması
Bir VPN uygulamadan önce, MikroTik yönlendiricinizin temel bir güvenli yapılandırmaya sahip olduğundan emin olun:
- RouterOS'u en son kararlı sürüme güncelleyin
- Varsayılan yönetici parolasını değiştirin
- Tüm arayüzler için uygun IP adreslemeyi yapılandırın
- Ağınızı korumak için temel güvenlik duvarı kurallarını ayarlayın
- DNS ayarlarını yapılandırın
- NTP'nin (Ağ Zaman Protokolü) düzgün yapılandırıldığından emin olun, çünkü doğru zaman VPN kimlik doğrulaması için çok önemlidir
VPN Uygulamanızı Planlama
VPN dağıtımınızı planlamak için zaman ayırın, şunları göz önünde bulundurarak:
VPN Topolojisi:
- Uzak erişim VPN'i (ağınıza bağlanan istemciler)
- Noktadan noktaya VPN (birden fazla ağı bağlama)
- Merkez-şube (merkezi bir siteyi birden fazla şube ofisine bağlama)
- Ağ (tüm sitelerin birbirine bağlanması)
IP Adresleme Şeması:
- VPN istemcileri için IP alt ağını belirleyin
- Yerel ve uzak ağlar arasında IP çakışması olmadığından emin olun
- Ağlar arasında düzgün yönlendirme planlayın
Kimlik Doğrulama Yöntemi:
- Kullanıcı adı/şifre
- Sertifika tabanlı kimlik doğrulama
- Önceden paylaşılan anahtarlar
- İki faktörlü kimlik doğrulama
Güvenlik Hususları:
- Şifreleme gücü gereksinimleri
- Trafik ayrıştırma ihtiyaçları
- Erişim kontrol politikaları
MikroTik Yönlendiricinize Erişim
MikroTik yönlendiricinizi yapılandırmak için şu yöntemlerden birini kullanarak erişmeniz gerekir:
-
WebFig (Web tabanlı yapılandırma arayüzü):
- Bir web tarayıcısı aracılığıyla yönlendiricinizin IP adresine bağlanın
- Kimlik bilgilerinizle giriş yapın
- VPN ayarlarını yapılandırmak için menüde gezinin
-
WinBox (Windows GUI uygulaması):
- MikroTik'in web sitesinden WinBox'ı indirin
- IP veya MAC adresi aracılığıyla yönlendiricinize bağlanın
- Ayarları yapılandırmak için grafik arayüzü kullanın
-
SSH/Telnet (Komut satırı arayüzü):
- PuTTY gibi bir SSH istemcisi kullanarak bağlanın
- Komutları doğrudan RouterOS CLI'ye girin
- Betikleme ve gelişmiş yapılandırmalar için kullanışlıdır
-
The Dude (Ağ yönetimi uygulaması):
- Birden fazla MikroTik cihazını yönetmek için
- Altyapınızın ağ çapında bir görünümünü sağlar
Mini-SSS
MikroTik'te bir VPN sunucusu kurmak için statik bir IP adresine ihtiyacım var mı?
Statik bir IP ideal olsa da, dinamik bir IP'niz varsa no-ip.com veya dyn.com gibi dinamik DNS hizmetlerini kullanabilirsiniz. MikroTik, betikler veya yerleşik DDNS istemcisi aracılığıyla otomatik DDNS güncellemelerini destekler.
MikroTik'te VPN işlevselliği için hangi lisans seviyesine ihtiyacım var?
Çoğu VPN özelliği en az Seviye 4 lisansı gerektirir. Ancak, temel PPTP ve L2TP Seviye 3'ten itibaren mevcuttur. Gelişmiş özellikler ve daha iyi performans için, özellikle kurumsal dağıtımlar için Seviye 5 veya Seviye 6 önerilir.
Bölüm 3: L2TP/IPsec VPN Sunucusu Kurulumu
L2TP/IPsec, en yaygın desteklenen VPN protokollerinden biridir, bu da onu çeşitli istemci cihazlarına sahip ortamlar için mükemmel bir seçim haline getirir. MikroTik yönlendiricinizde bir L2TP/IPsec VPN sunucusu kurma sürecini adım adım inceleyelim.
Adım 1: IPsec Ayarlarını Yapılandırma
İlk olarak, L2TP tüneli için şifreleme sağlayan VPN'in IPsec kısmını ayarlamamız gerekiyor:
- WinBox'ı açın ve MikroTik yönlendiricinize bağlanın
- IP → IPsec → Profiller'e gidin
- Yeni bir profil eklemek için + düğmesine tıklayın
- Aşağıdaki ayarları yapılandırın:
- Ad: L2TP-IPsec
- Hash Algoritmaları: sha256
- Şifreleme Algoritmaları: aes-256-cbc
- DH Grubu: modp2048
- Teklif Kontrolü: uy
- Ömür: 1g 00:00:00
- Profili kaydetmek için Tamam'a tıklayın
Ardından, IPsec teklifini oluşturun:
- IP → IPsec → Teklifler'e gidin
- Yeni bir teklif eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Kimlik Doğrulama Algoritmaları: sha256
- Şifreleme Algoritmaları: aes-256-cbc
- PFS Grubu: modp2048
- Kaydetmek için Tamam'a tıklayın
Şimdi, IPsec eşini ayarlayın:
- IP → IPsec → Eşler'e gidin
- Yeni bir eş eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Ad: L2TP-Eş
- Adres: 0.0.0.0/0 (herhangi bir IP'den bağlantıları kabul etmek için)
- Profil: L2TP-IPsec (daha önce oluşturduğumuz profil)
- Değişim Modu: ana
- İlk Teması Gönder: evet
- Nat Geçişi: evet
- Ön Paylaşımlı Anahtar: SizinGüçlüGizliAnahtarınız (güçlü, benzersiz bir anahtar kullanın)
- Kaydetmek için Tamam'a tıklayın
Adım 2: L2TP Sunucusunu Yapılandırma
Şimdi, L2TP sunucusunu ayarlayalım:
- Sol menüden PPP'ye gidin
- Profiller sekmesine gidin
- Yeni bir profil eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Ad: L2TP-Profil
- Yerel Adres: VPN için kullanılacak yönlendiricinin IP'sini belirtin (örn. 10.0.0.1)
- Uzak Adres: İstemciler için IP havuzunu belirtin (örn. 10.0.0.2-10.0.0.254)
- DNS Sunucusu: Tercih ettiğiniz DNS sunucuları
- Şifrelemeyi Kullan: evet
- Profili kaydetmek için Tamam'a tıklayın
Ardından, L2TP sunucusunu ayarlayın:
- Arayüz sekmesine gidin
- L2TP Sunucusu'na tıklayın
- Aşağıdakileri yapılandırın:
- Etkin: evet
- Maks MTU: 1450
- Maks MRU: 1450
- Canlı Tutma Zaman Aşımı: 30
- Varsayılan Profil: L2TP-Profil (oluşturduğumuz profil)
- Kimlik Doğrulama: mschap2, mschap1, chap (en iyi uyumluluk için bu sırada)
- IPsec Kullan: evet
- IPsec Gizli: SizinGüçlüGizliAnahtarınız (IPsec eş yapılandırmasıyla aynı)
- Kaydetmek için Tamam'a tıklayın
Adım 3: VPN Kullanıcıları Oluşturma
Şimdi, VPN erişimi için kullanıcı hesapları oluşturalım:
- Sol menüden PPP'ye gidin
- Gizliler sekmesine tıklayın
- Yeni bir gizli eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Ad: kullanıcıadı (VPN kullanıcısı için giriş kullanıcı adı)
- Parola: parola (kullanıcı için güçlü bir parola)
- Hizmet: l2tp
- Profil: L2TP-Profil
- Kaydetmek için Tamam'a tıklayın
- Gerektikçe ek kullanıcılar için tekrarlayın
Adım 4: Güvenlik Duvarı Kurallarını Yapılandırma
Güvenlik duvarınız üzerinden VPN trafiğine izin vermek için:
-
IP → Güvenlik Duvarı → Filtre Kuralları'na gidin
-
L2TP ve IPsec trafiğine izin vermek için kurallar ekleyin:
IPsec için:
- UDP bağlantı noktası 500'e (IKE) izin vermek için bir kural ekleyin
- UDP bağlantı noktası 4500'e (IPsec NAT-T) izin vermek için bir kural ekleyin
- IP protokolü 50'ye (ESP) izin vermek için bir kural ekleyin
- IP protokolü 51'e (AH) izin vermek için bir kural ekleyin
L2TP için:
- UDP bağlantı noktası 1701'e (L2TP) izin vermek için bir kural ekleyin
-
VPN alt ağından gelen trafiğin ağınızdaki kaynaklara erişmesine izin vermek için gerektiği gibi kurallar ekleyin
Adım 5: VPN Bağlantısını Test Etme
Yapılandırmayı tamamladıktan sonra, bir istemci cihazından VPN bağlantısını test edin:
-
Windows'ta:
- Ayarlar → Ağ ve İnternet → VPN'e gidin
- "VPN bağlantısı ekle"ye tıklayın
- VPN Sağlayıcısı: Windows (yerleşik)
- Bağlantı adı: MikroTik L2TP
- Sunucu adı veya adresi: MikroTik'inizin genel IP'si veya DDNS'si
- VPN türü: Ön paylaşımlı anahtarla L2TP/IPsec
- Ön paylaşımlı anahtar: SizinGüçlüGizliAnahtarınız (yapılandırdığınız anahtar)
- Kullanıcı adı ve parola: PPP gizlilerinde oluşturduğunuz kimlik bilgileri
-
Android/iOS'ta:
- Ayarlar → VPN'e gidin
- Yeni bir VPN bağlantısı ekleyin
- L2TP/IPsec'i seçin
- MikroTik'inizin genel IP'sini veya DDNS'sini girin
- Ön paylaşımlı anahtarı, kullanıcı adını ve parolayı girin
Mini-SSS
L2TP/IPsec VPN bağlantım neden kurulamıyor?
Yaygın sorunlar arasında yanlış ön paylaşımlı anahtar, güvenlik duvarının VPN bağlantı noktalarını engellemesi, NAT sorunları veya uyumsuz şifreleme ayarları bulunur. Sorunu gidermek için Sistem → Günlükler altındaki yönlendirici günlüklerinizi kontrol edin.
MikroTik yönlendiricim kaç eş zamanlı L2TP/IPsec VPN kullanıcısını destekleyebilir?
Bu, yönlendiricinizin donanım yeteneklerine bağlıdır. Giriş seviyesi modeller 5-10 eş zamanlı kullanıcıyı kaldırabilirken, CCR serisi gibi üst düzey modeller düzinelerce hatta yüzlerce bağlantıyı destekleyebilir. CPU kullanımı, şifreleme yükü nedeniyle ana sınırlayıcı faktördür.
Bölüm 4: OpenVPN Sunucusu Kurulumu
OpenVPN, farklı platformlarda iyi çalışan, yüksek derecede yapılandırılabilir ve güvenli bir VPN çözümüdür. MikroTik üzerinde kurulumu, sertifikaların oluşturulmasını ve sunucunun doğru şekilde yapılandırılmasını gerektirir. Adım adım süreci inceleyelim.
Adım 1: Sertifikaları Oluşturma
OpenVPN kimlik doğrulama için sertifikaları kullanır. Bir Sertifika Yetkilisi (CA), bir sunucu sertifikası ve istemci sertifikaları oluşturmamız gerekecek:
-
Sistem → Sertifikalar'a gidin
-
İlk olarak, bir Sertifika Yetkilisi (CA) oluşturun:
- Ekle düğmesine tıklayın
- Ad: CA olarak ayarlayın
- Ortak Ad: MikroTik-CA olarak ayarlayın
- Anahtar Boyutu: 2048 olarak ayarlayın
- Geçerlilik Günleri: 3650 (10 yıl) olarak ayarlayın
- Anahtar Kullanımı: crl sign, key cert sign'ı işaretleyin
- Uygula, ardından İmzala'ya tıklayın
- Yeni iletişim kutusunda, Sertifika olarak CA'yı seçin ve İmzala'ya tıklayın
-
Bir sunucu sertifikası oluşturun:
- Ekle düğmesine tıklayın
- Ad: Sunucu olarak ayarlayın
- Ortak Ad: MikroTik-Sunucu olarak ayarlayın
- Anahtar Boyutu: 2048 olarak ayarlayın
- Geçerlilik Günleri: 3650 olarak ayarlayın
- Anahtar Kullanımı: digital signature, key encipherment, tls server'ı işaretleyin
- Uygula, ardından İmzala'ya tıklayın
- Yeni iletişim kutusunda, Sertifika Yetkilisi olarak CA'yı seçin ve İmzala'ya tıklayın
-
Bir istemci sertifikası oluşturun:
- Ekle düğmesine tıklayın
- Ad: İstemci1 olarak ayarlayın
- Ortak Ad: İstemci1 olarak ayarlayın
- Anahtar Boyutu: 2048 olarak ayarlayın
- Geçerlilik Günleri: 3650 olarak ayarlayın
- Anahtar Kullanımı: tls client'ı işaretleyin
- Uygula, ardından İmzala'ya tıklayın
- Yeni iletişim kutusunda, Sertifika Yetkilisi olarak CA'yı seçin ve İmzala'ya tıklayın
- Gerektiğinde ek istemciler için bu adımı tekrarlayın
Adım 2: OpenVPN Sunucusunu Yapılandırma
Şimdi, OpenVPN sunucusunu ayarlayalım:
- Sol menüden PPP'ye gidin
- Profiller sekmesine gidin
- Yeni bir profil eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Ad: OVPN-Profil
- Yerel Adres: VPN için kullanılacak yönlendiricinin IP'sini belirtin (örn. 10.1.0.1)
- Uzak Adres: İstemciler için IP havuzunu belirtin (örn. 10.1.0.2-10.1.0.254)
- DNS Sunucusu: Tercih ettiğiniz DNS sunucuları
- Şifrelemeyi Kullan: evet
- Profili kaydetmek için Tamam'a tıklayın
Ardından, OpenVPN sunucusunu ayarlayın:
- Sol menüden PPP'ye gidin
- Arayüz sekmesine tıklayın
- OVPN Sunucusu düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Etkin: evet
- Bağlantı Noktası: 1194
- Mod: ip
- Protokol: tcp
- Ağ Maskesi: 24
- Maks MTU: 1500
- Varsayılan Profil: OVPN-Profil
- Sertifika: Sunucu (oluşturduğumuz sunucu sertifikası)
- Kimlik Doğrulama: sha1
- Şifre: aes256
- İstemci Sertifikası Gerektir: evet
- Kaydetmek için Tamam'a tıklayın
Adım 3: Güvenlik Duvarı Kurallarını Yapılandırma
Güvenlik duvarınız üzerinden OpenVPN trafiğine izin vermek için:
-
IP → Güvenlik Duvarı → Filtre Kuralları'na gidin
-
OpenVPN trafiğine izin vermek için bir kural ekleyin:
- + düğmesine tıklayın
- Zincir: input olarak ayarlayın
- Protokol: tcp olarak ayarlayın
- Hedef Bağlantı Noktası: 1194 olarak ayarlayın
- Eylem: accept olarak ayarlayın
- "OpenVPN'e İzin Ver" gibi bir yorum ekleyin
- Kaydetmek için Tamam'a tıklayın
-
VPN alt ağından gelen trafiğin ağınızdaki kaynaklara erişmesine izin vermek için gerektiği gibi kurallar ekleyin
Adım 4: İstemci Sertifikalarını Dışa Aktarma ve İstemci Yapılandırmasını Oluşturma
İstemcileri OpenVPN sunucunuza bağlamak için, sertifikaları dışa aktarmanız ve bir istemci yapılandırma dosyası oluşturmanız gerekir:
-
CA sertifikasını dışa aktarın:
- Sistem → Sertifikalar'a gidin
- CA sertifikasını seçin
- Dışa Aktar'a tıklayın
- Dışa Aktarma Türü: PEM'i seçin
- Dışa Aktar'a tıklayın ve dosyayı
ca.crt
olarak kaydedin
-
İstemci sertifikasını ve anahtarını dışa aktarın:
- İstemci1 sertifikasını seçin
- Dışa Aktar'a tıklayın
- Dışa Aktarma Türü: PEM'i seçin
- Dışa Aktar'a tıklayın ve dosyayı
client1.crt
olarak kaydedin - Tekrar Dışa Aktar'a tıklayın
- Dışa Aktarma Türü: key'i seçin
- Anahtarı parola ile korumak istiyorsanız Dışa Aktarma Parolasını girin
- Dışa Aktar'a tıklayın ve dosyayı
client1.key
olarak kaydedin
-
Aşağıdaki içerikle bir istemci yapılandırma dosyası (client.ovpn) oluşturun:
client
dev tun
proto tcp
remote sizin-mikrotik-genel-ip-adresiniz 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
verb 3
key-direction 1
<ca>
# ca.crt içeriğini buraya yapıştırın
</ca>
<cert>
# client1.crt içeriğini buraya yapıştırın
</cert>
<key>
# client1.key içeriğini buraya yapıştırın
</key>
Adım 5: İstemcileri OpenVPN'e Bağlama
Şimdi, istemci yapılandırma dosyasını kullanarak OpenVPN sunucunuza bağlanabilirsiniz:
-
Windows'ta:
- OpenVPN istemcisini kurun (openvpn.net'ten)
- client.ovpn dosyasını C:\Program Files\OpenVPN\config\ konumuna kopyalayın
- Sistem tepsisindeki OpenVPN GUI simgesine sağ tıklayın ve "Bağlan"ı seçin
-
macOS'ta:
- Tunnelblick'i kurun (tunnelblick.net'ten)
- client.ovpn dosyasını içe aktarın
- Tunnelblick menüsünü kullanarak bağlanın
-
Linux'ta:
- OpenVPN istemcisini kurun (Debian/Ubuntu'da
sudo apt install openvpn
) sudo openvpn --config client.ovpn
komutunu çalıştırın
- OpenVPN istemcisini kurun (Debian/Ubuntu'da
-
Android/iOS'ta:
- OpenVPN Connect uygulamasını kurun
- client.ovpn dosyasını içe aktarın
- Uygulamayı kullanarak bağlanın
Mini-SSS
OpenVPN bağlantı sorunlarını nasıl giderebilirim?
Hem sunucu (Sistem → Günlükler) hem de istemci tarafındaki günlükleri kontrol edin. Yaygın sorunlar arasında sertifika sorunları, güvenlik duvarı engellemeleri veya yönlendirme sorunları bulunur. Daha ayrıntılı günlükler için yapılandırma dosyasında "verb 5" ayarlayarak istemci tarafında ayrıntılı günlük kaydını etkinleştirin.
OpenVPN için TCP yerine UDP kullanabilir miyim?
Evet, UDP genellikle daha iyi performans için tercih edilir. UDP kullanmak için hem sunucu yapılandırmasında hem de istemci yapılandırma dosyasında protokol ayarını değiştirin. UDP genellikle daha hızlıdır ancak kararsız bağlantılarda daha az güvenilir olabilir.
Bölüm 5: WireGuard VPN Kurulumu (RouterOS v7+)
WireGuard, basitliği, yüksek performansı ve güçlü güvenliği ile bilinen modern bir VPN protokolüdür. RouterOS sürüm 7 ve sonraki sürümlerde mevcuttur. MikroTik yönlendiricinizde bir WireGuard VPN sunucusu kurma sürecini inceleyelim.
Adım 1: WireGuard Arayüzünü Oluşturma
İlk olarak, MikroTik yönlendiricinizde WireGuard arayüzünü oluşturalım:
- Sol menüden WireGuard'a gidin (veya eski v7 sürümlerinde Arayüz → WireGuard'a)
- Yeni bir arayüz eklemek için + düğmesine tıklayın
- Aşağıdaki ayarları yapılandırın:
- Ad: wireguard1
- Dinleme Bağlantı Noktası: 13231 (veya seçtiğiniz başka bir bağlantı noktası)
- MTU: 1420
- Arayüzü oluşturmak için Tamam'a tıklayın
- Oluşturulduktan sonra, istemci yapılandırması için ihtiyacınız olacak Genel Anahtarı not alın
Adım 2: WireGuard Arayüzü İçin IP Adresini Yapılandırma
WireGuard arayüzüne bir IP adresi atayın:
- IP → Adresler'e gidin
- Yeni bir adres eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Adres: 10.10.10.1/24 (bu VPN alt ağı olacaktır)
- Arayüz: wireguard1
- Kaydetmek için Tamam'a tıklayın
Adım 3: WireGuard Eşlerini (İstemcileri) Ekleme
WireGuard VPN'inize bağlanacak her istemci için:
- Önce, istemci cihazında bir anahtar çifti oluşturun (bunu Adım 5'te göstereceğiz)
- MikroTik yönlendiricinizde, sol menüden WireGuard'a gidin
- Eşler sekmesine tıklayın
- Yeni bir eş eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Arayüz: wireguard1
- Genel Anahtar: (istemcinin genel anahtarını buraya yapıştırın)
- İzin Verilen Adres: 10.10.10.2/32 (bu istemciye atamak istediğiniz IP adresi)
- Kalıcı Canlı Tutma: 25 (NAT geçişine yardımcı olur)
- Kaydetmek için Tamam'a tıklayın
- IP adresini artırarak (10.10.10.3/32 vb.) ek istemciler için tekrarlayın
Adım 4: Güvenlik Duvarı Kurallarını Yapılandırma
Güvenlik duvarınız üzerinden WireGuard trafiğine izin vermek için:
-
IP → Güvenlik Duvarı → Filtre Kuralları'na gidin
-
WireGuard trafiğine izin vermek için bir kural ekleyin:
- + düğmesine tıklayın
- Zincir: input olarak ayarlayın
- Protokol: udp olarak ayarlayın
- Hedef Bağlantı Noktası: 13231 (WireGuard için yapılandırdığınız bağlantı noktası)
- Eylem: accept olarak ayarlayın
- "WireGuard'a İzin Ver" gibi bir yorum ekleyin
- Kaydetmek için Tamam'a tıklayın
-
WireGuard alt ağından gelen trafiğin ağınızdaki kaynaklara erişmesine izin vermek için gerektiği gibi kurallar ekleyin
-
İsteğe bağlı olarak, VPN istemcilerinin VPN üzerinden internete erişmesine izin vermek için maskeleme kuralı ekleyin:
- IP → Güvenlik Duvarı → NAT'a gidin
- + düğmesine tıklayın
- Zincir: srcnat olarak ayarlayın
- Kaynak Adresi: 10.10.10.0/24 olarak ayarlayın
- Eylem: masquerade olarak ayarlayın
- "WireGuard istemcilerini maskele" gibi bir yorum ekleyin
- Kaydetmek için Tamam'a tıklayın
Adım 5: WireGuard İstemcilerini Yapılandırma
Şimdi, WireGuard VPN'inize bağlanmak için bir istemci ayarlayalım:
Windows İçin:
- WireGuard'ı wireguard.com adresinden indirin ve kurun
- WireGuard uygulamasını açın
- "Boş Tünel Ekle..."ye tıklayın
- Yeni bir anahtar çifti oluşturun (bu otomatik olarak gerçekleşir)
- İstemciyi aşağıdaki şablonla yapılandırın:
[Interface]
PrivateKey = (istemcinin özel anahtarı)
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4
[Peer]
PublicKey = (MikroTik WireGuard arayüzünüzün genel anahtarı)
AllowedIPs = 0.0.0.0/0
Endpoint = sizin-mikrotik-genel-ip-adresiniz:13231
PersistentKeepalive = 25
- Kaydet'e tıklayın ve ardından bağlanmak için "Etkinleştir"e tıklayın
Android/iOS İçin:
- Uygulama mağazasından WireGuard uygulamasını kurun
-
- düğmesine dokunun ve "Sıfırdan oluştur"u seçin
- VPN için bir ad girin
- Yukarıdaki şablonu kullanarak yapılandırın
- "Kaydet"e dokunun ve ardından bağlanmak için düğmeye dokunun
Linux İçin:
- WireGuard'ı kurun (Debian/Ubuntu'da
sudo apt install wireguard
) - Anahtarları oluşturun:
wg genkey | tee privatekey | wg pubkey > publickey
- Yukarıdaki şablonu kullanarak
/etc/wireguard/wg0.conf
konumunda bir yapılandırma dosyası oluşturun sudo wg-quick up wg0
ile bağlanın
Adım 6: Bağlantıyı Test Etme
Hem sunucuyu hem de istemciyi ayarladıktan sonra:
- İstemci cihazınızda WireGuard bağlantısını etkinleştirin
- MikroTik'inizdeki WireGuard arayüz IP'sini (10.10.10.1) pingleyerek bağlantıyı doğrulayın
- Ağınızdaki diğer kaynaklara erişmeyi deneyin
- MikroTik'inizdeki WireGuard'a gidip Eşler sekmesine bakarak WireGuard durumunu kontrol edin
Mini-SSS
WireGuard, OpenVPN veya IPsec'ten daha mı güvenli?
WireGuard, OpenVPN veya IPsec'ten çok daha küçük bir kod tabanına sahip modern kriptografi kullanır, bu da potansiyel olarak daha az güvenlik açığı anlamına gelir. Ancak, üç protokol de doğru yapılandırıldığında güvenli kabul edilir. WireGuard'ın ana avantajları basitliği ve performansıdır.
MikroTik yönlendiricim kaç WireGuard eşini destekleyebilir?
Bu, yönlendiricinizin donanım yeteneklerine bağlıdır. WireGuard çok verimlidir, bu nedenle giriş seviyesi MikroTik yönlendiriciler bile düzinelerce eşi kaldırabilir. Üst düzey modeller, minimal performans etkisiyle yüzlerce bağlantıyı destekleyebilir.
Bölüm 6: IPsec ile Noktadan Noktaya VPN Kurulumu
IPsec, şube ofisleri arasında veya ana ofisiniz ile bir bulut ortamı arasında güvenli noktadan noktaya VPN bağlantıları kurmak için mükemmel bir seçimdir. Bu bölümde, IPsec kullanarak iki MikroTik yönlendirici arasında noktadan noktaya bir VPN yapılandıracağız.
Adım 1: Ağ Topolojinizi Planlama
IPsec'i yapılandırmadan önce, ağ topolojinizi planlayın:
Site A (Ana Ofis):
- Genel IP: 203.0.113.1 (gerçek genel IP'nizle değiştirin)
- Yerel Ağ: 192.168.1.0/24
- MikroTik Yönlendirici: 192.168.1.1
Site B (Şube Ofisi):
- Genel IP: 203.0.113.2 (gerçek genel IP'nizle değiştirin)
- Yerel Ağ: 192.168.2.0/24
- MikroTik Yönlendirici: 192.168.2.1
Adım 2: Site A'da (Ana Ofis) IPsec'i Yapılandırma
-
IPsec Profili Oluşturma:
- IP → IPsec → Profiller'e gidin
- Yeni bir profil eklemek için + düğmesine tıklayın
- Aşağıdaki ayarları yapılandırın:
- Ad: noktadan-noktaya
- Hash Algoritmaları: sha256
- Şifreleme Algoritmaları: aes-256-cbc
- DH Grubu: modp2048
- Kaydetmek için Tamam'a tıklayın
-
IPsec Teklifi Oluşturma:
- IP → IPsec → Teklifler'e gidin
- Yeni bir teklif eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Ad: noktadan-noktaya-teklif
- Kimlik Doğrulama Algoritmaları: sha256
- Şifreleme Algoritmaları: aes-256-cbc
- PFS Grubu: modp2048
- Kaydetmek için Tamam'a tıklayın
-
IPsec Eşi Oluşturma:
- IP → IPsec → Eşler'e gidin
- Yeni bir eş eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Ad: site-b-eşi
- Adres: 203.0.113.2 (Site B'nin genel IP'si)
- Profil: noktadan-noktaya
- Değişim Modu: ana
- İlk Teması Gönder: evet
- Nat Geçişi: evet
- Ön Paylaşımlı Anahtar: SizinGüçlüGizliAnahtarınız (güçlü, benzersiz bir anahtar kullanın)
- Kaydetmek için Tamam'a tıklayın
-
IPsec İlkesi Oluşturma:
- IP → IPsec → Politikalar'a gidin
- Yeni bir politika eklemek için + düğmesine tıklayın
- Aşağıdakileri yapılandırın:
- Kaynak Adresi: 192.168.1.0/24 (Site A'nın yerel ağı)
- Hedef Adresi: 192.168.2.0/24 (Site B'nin yerel ağı)
- Protokol: hepsi
- Eylem: şifrele
- Seviye: gerekli
- IPsec Protokolleri: esp
- Tünel: evet
- SA Kaynak Adresi: 203.0.113.1 (Site A'nın genel IP'si)
- SA Hedef Adresi: 203.0.113.2 (Site B'nin genel IP'si)
- Teklif: noktadan-noktaya-teklif
- Kaydetmek için Tamam'a tıklayın
Adım 3: Site B'de (Şube Ofisi) IPsec'i Yapılandırma
Site B'nin MikroTik yönlendiricisinde aynı adımları tekrarlayın, ancak kaynak ve hedef adresleri tersine çevirin:
-
IPsec Profili Oluşturma (Site A ile aynı)
-
IPsec Teklifi Oluşturma (Site A ile aynı)
-
IPsec Eşi Oluşturma:
- Site A'nın genel IP'si (203.0.113.1) ile yapılandırın
- Site A ile aynı ön paylaşımlı anahtarı kullanın
-
IPsec İlkesi Oluşturma:
- Kaynak Adresi: 192.168.2.0/24 (Site B'nin yerel ağı)
- Hedef Adresi: 192.168.1.0/24 (Site A'nın yerel ağı)
- SA Kaynak Adresi: 203.0.113.2 (Site B'nin genel IP'si)
- SA Hedef Adresi: 203.0.113.1 (Site A'nın genel IP'si)
- Diğer ayarlar Site A ile aynı
Adım 4: Her İki Sitede Güvenlik Duvarı Kurallarını Yapılandırma
Her iki MikroTik yönlendiricisinde de IPsec trafiğine izin vermek için güvenlik duvarı kuralları ekleyin:
-
IP → Güvenlik Duvarı → Filtre Kuralları'na gidin
-
IPsec trafiğine izin vermek için kurallar ekleyin:
- UDP bağlantı noktası 500'e (IKE) izin vermek için bir kural ekleyin
- UDP bağlantı noktası 4500'e (IPsec NAT-T) izin vermek için bir kural ekleyin
- IP protokolü 50'ye (ESP) izin vermek için bir kural ekleyin
- IP protokolü 51'e (AH) izin vermek için bir kural ekleyin
-
Yerel ağlar arasındaki trafiğin güvenlik duvarı kurallarınızda izin verildiğinden emin olun
Adım 5: Yönlendirmeyi Yapılandırma (Gerekirse)
Her iki sitede de birden fazla alt ağa sahip daha karmaşık ağlarınız varsa, statik rotalar eklemeniz gerekebilir:
- IP → Rotalar'a gidin
- Yeni bir rota eklemek için + düğmesine tıklayın
- Uzak ağa IPsec tüneli üzerinden giden rotayı yapılandırın
- Tünel üzerinden iletişim kurması gereken ek alt ağlar için tekrarlayın
Adım 6: Bağlantıyı Test Etme
Her iki sitede de yapılandırmayı tamamladıktan sonra:
-
IP → IPsec → Etkin Eşler'e giderek IPsec durumunu kontrol edin
- İki site arasında kurulmuş bir bağlantı görmelisiniz
-
Tünel üzerinden cihazlara ping atarak bağlantıyı test edin:
- Site A ağındaki bir cihazdan, Site B ağındaki bir cihaza ping atın
- Site B ağındaki bir cihazdan, Site A ağındaki bir cihaza ping atın
-
Pingler başarılıysa, tünel üzerinden diğer hizmetlere erişmeyi deneyin
Adım 7: İzleme ve Sorun Giderme
IPsec tünelinizi izlemek ve sorun gidermek için:
-
IPsec istatistiklerini kontrol edin:
- IP → IPsec → İstatistikler'e gidin
- Etkin güvenlik ilişkilerini (SA'lar) arayın
-
IPsec ile ilgili mesajlar için günlükleri görüntüleyin:
- Sistem → Günlükler'e gidin
- IPsec ile ilgili girdiler için filtreleyin
-
Tüneli test etmek için yönlendirme seçenekleriyle ping aracını kullanın:
- Araçlar → Ping'e gidin
- Uzak sitedeki bir cihazın IP'sini girin
- Kaynak Adresini yerel arayüz IP'nize ayarlayın
Mini-SSS
IPsec tüneli kurulmazsa ne yapmalıyım?
IPsec trafiğine izin verildiğinden emin olmak için her iki taraftaki güvenlik duvarı kurallarını kontrol edin. Ön paylaşımlı anahtarların tam olarak eşleştiğini doğrulayın. Her iki yönlendirici de başka bir NAT cihazının arkasındaysa NAT sorunlarını kontrol edin. Belirli hata mesajları için günlükleri inceleyin.
Trafiğin gerçekten IPsec tüneli üzerinden gittiğini nasıl doğrulayabilirim?
Paketlerin şifrelenip şifrelenmediğini görmek için IP → IPsec → İstatistikler sayfasını kullanın. Ayrıca, arayüzlerinizdeki trafiği izlemek ve paketlerin IPsec arayüzü üzerinden akıp akmadığını görmek için Torch aracını (Araçlar → Torch) kullanabilirsiniz.
Bölüm 7: Gelişmiş VPN Yapılandırmaları ve En İyi Uygulamalar
Temel VPN kurulumlarını ele aldığımıza göre, MikroTik VPN dağıtımlarınızın güvenliğini, performansını ve yönetilebilirliğini artırmak için bazı gelişmiş yapılandırmaları ve en iyi uygulamaları keşfedelim.
Bölünmüş Tünelleme Uygulama
Bölünmüş tünelleme, VPN istemcilerinin hem uzak ağa hem de doğrudan internete erişmesine olanak tanıyarak, internete yönelik trafik için performansı artırır:
-
OpenVPN için:
- İstemci yapılandırma dosyasında,
redirect-gateway
yönergesini değiştirin veya belirliroute
ifadelerini kullanın - Örnek:
route 192.168.1.0 255.255.255.0
(yalnızca 192.168.1.0/24 ağına giden trafiği VPN üzerinden yönlendirir)
- İstemci yapılandırma dosyasında,
-
WireGuard için:
- İstemci yapılandırmasında,
AllowedIPs
ayarını değiştirin 0.0.0.0/0
(tüm trafiği yönlendiren) yerine belirli ağları kullanın:- Örnek:
AllowedIPs = 10.10.10.0/24, 192.168.1.0/24
- İstemci yapılandırmasında,
-
L2TP/IPsec için:
- Windows istemcilerinde, VPN bağlantı özelliklerini düzenleyin
- Ağ Bağlantıları → IPv4 → Özellikler → Gelişmiş'e gidin
- "Uzak ağdaki varsayılan ağ geçidini kullan" seçeneğinin işaretini kaldırın
İki Faktörlü Kimlik Doğrulama Uygulama
İki faktörlü kimlik doğrulama ile güvenliği artırın:
-
RADIUS Kimlik Doğrulaması:
- Bir RADIUS sunucusu kurun (MikroTik'in Kullanıcı Yöneticisi paketini kullanabilirsiniz)
- VPN sunucunuzu RADIUS kullanacak şekilde yapılandırın:
- Sol menüden Radius'a gidin
- VPN hizmetiniz için yeni bir RADIUS istemcisi ekleyin
- VPN sunucu ayarlarınızda RADIUS kimlik doğrulamasını etkinleştirin
-
Sertifika + Parola Kimlik Doğrulaması:
- OpenVPN için hem sertifika hem de kullanıcı adı/parola gerektirir:
- Sunucu yapılandırmasında,
auth-user-pass-verify
betiğini ayarlayın client-cert-not-required
'ın ayarlanmadığından emin olun
- Sunucu yapılandırmasında,
- OpenVPN için hem sertifika hem de kullanıcı adı/parola gerektirir:
-
Zaman Tabanlı Tek Kullanımlık Parolalar (TOTP):
- MikroTik'inize TOTP paketini kurun
- Kullanıcıları TOTP sırları ile yapılandırın
- Kimlik doğrulamanızı TOTP kodları gerektirecek şekilde ayarlayın
VPN Performansını Optimize Etme
Bu ayarlamalarla VPN performansını iyileştirin:
-
MTU Ayarlarını Yapılandırma:
- "Parçalama" bayrağı ile ping testleri kullanarak bağlantınız için en uygun MTU'yu bulun
- VPN arayüzünüzde uygun MTU'yu ayarlayın
- OpenVPN için tipik değerler 1400-1450'dir
- WireGuard için 1420 genellikle en uygunudur
-
Donanım Hızlandırmayı Etkinleştirme:
- MikroTik modeliniz donanım şifrelemesini destekliyorsa:
- Sistem → Kaynaklar'a gidin
- Donanım şifrelemesinin mevcut ve etkin olup olmadığını kontrol edin
- IPsec için, IP → IPsec → Ayarlar'a gidin ve donanım hızlandırmayı etkinleştirin
- MikroTik modeliniz donanım şifrelemesini destekliyorsa:
-
Verimli Protokoller Seçme:
- Mümkün olduğunda OpenVPN için TCP yerine UDP kullanın
- RouterOS v7+ üzerinde daha iyi performans için WireGuard'ı düşünün
- Donanım hızlandırma desteği olan modern şifreleme algoritmalarını kullanın
Yük Devretme ve Yük Dengeleme Uygulama
Görev açısından kritik VPN bağlantıları için yük devretme veya yük dengeleme uygulayın:
-
Çift WAN Yük Devretme:
- MikroTik'inizde birden fazla WAN bağlantısı yapılandırın
- Yönlendirme işaretleri ve politika tabanlı yönlendirme kullanarak yük devretme yönlendirmesi ayarlayın
- Birincil bağlantı kesilirse VPN'nizin otomatik olarak yeniden bağlanmasını yapılandırın
-
Noktadan Noktaya VPN Yedekliliği:
- Farklı WAN bağlantıları kullanarak siteler arasında birden fazla tünel kurun
- Birincil tüneli önceliklendirmek için yönlendirme metriklerini kullanın
- Otomatik yük devretme için VPN tünelleri üzerinden dinamik yönlendirme protokollerini (OSPF veya BGP) yapılandırın
-
Yük Dengeleme:
- Birden fazla uzak erişim kullanıcısı için, onları birden fazla VPN sunucusuna dağıtın
- Bağlantı isteklerini dağıtmak için DNS round-robin veya bir yük dengeleyici kullanın
VPN Bağlantılarını İzleme ve Günlüğe Kaydetme
VPN hizmetleriniz için kapsamlı izleme ayarlayın:
-
Ayrıntılı Günlük Kaydını Yapılandırma:
- Sistem → Günlük Kaydı'na gidin
- VPN ile ilgili olaylar için yeni bir günlük kaydı eylemi ekleyin
- Uygun konuları ayarlayın (örn. ppp, ipsec, ovpn)
-
SNMP İzlemeyi Ayarlama:
- IP → SNMP'ye gidin
- SNMP hizmetini etkinleştirin
- Topluluk dizelerini ve erişim listelerini yapılandırın
- VPN bağlantılarını ve performansını izlemek için bir SNMP izleme aracı kullanın
-
Bağlantı İzleme Betikleri Oluşturma:
- VPN bağlantılarını izlemek için RouterOS betiklemesini kullanın
- Başarısız bağlantı girişimleri veya tünel kesintileri için e-posta uyarıları ayarlayın
- IPsec tünel durumunu izlemek ve uyarı göndermek için örnek betik
/system script
add name="monitor-ipsec" source={
:if ([/ip ipsec policy find where dst-address="192.168.2.0/24" and invalid=yes] != "") do={
/tool e-mail send to="[email protected]" subject="IPsec Tunnel Down" body="Şube Ofisine IPsec tüneli kapalı."
}
}
/system scheduler
add interval=5m name="check-ipsec" on-event=monitor-ipsec start-time=startup
Mini-SSS
MikroTik yönlendiricimi VPN üzerinden güvenli bir şekilde uzaktan yönetmeye nasıl izin verebilirim?
Yalnızca yönetim erişimi (Winbox, SSH, WebFig) için daha sıkı güvenlik ayarlarına sahip ayrı bir VPN profili oluşturun. Güvenlik duvarı kurallarını kullanarak yönetime yalnızca VPN alt ağından izin verin. Ek güvenlik için IP tabanlı erişim listeleri ve iki faktörlü kimlik doğrulama uygulamayı düşünün.
Noktadan noktaya VPN'ler için dinamik IP adreslerini ele almanın en iyi yolu nedir?
Değişen IP adreslerini izlemek için dinamik DNS hizmetlerini kullanın. IPsec veya OpenVPN'inizi IP adresleri yerine ana bilgisayar adlarını kullanacak şekilde yapılandırın. IPsec için, eş adresleri değiştikçe güncellemek için bir betik kullanmanız gerekebilir. Alternatif olarak, dinamik adreslemeyi ele almak için RouterOS'un IPsec için "mod-config" özelliğini kullanmayı düşünün.
Sonuç
MikroTik yönlendiricinizde bir VPN kurmak, ağ kaynaklarınıza güvenli uzaktan erişim sağlar ve birden fazla konum arasında güvenli noktadan noktaya bağlantı sağlar. Bu kapsamlı rehberde, yaygın olarak uyumlu L2TP/IPsec'ten modern ve verimli WireGuard protokolüne kadar çeşitli VPN uygulama seçeneklerini ele aldık.
Gerekli sertifikalar, şifreleme ayarları, güvenlik duvarı kuralları ve istemci yapılandırmaları dahil olmak üzere her VPN türünü yapılandırma sürecini adım adım inceledik. Ayrıca, sağlam ve güvenli bir VPN altyapısı oluşturmanıza yardımcı olmak için bölünmüş tünelleme, iki faktörlü kimlik doğrulama ve performans optimizasyon teknikleri gibi gelişmiş yapılandırmaları da araştırdık.
MikroTik yönlendiricileri, birçok kurumsal çözümün maliyetinin çok altında olağanüstü esneklik ve güçlü VPN yetenekleri sunar. Bu rehberdeki talimatları izleyerek, verilerinizi koruyan ve ağ kaynaklarınıza sorunsuz uzaktan erişim sağlayan güvenli bağlantılar oluşturmak için bu yeteneklerden yararlanabilirsiniz.
Güvenliğin tek seferlik bir kurulum değil, devam eden bir süreç olduğunu unutmayın. RouterOS aygıt yazılımınızı düzenli olarak güncelleyin, VPN yapılandırmalarınızı gözden geçirin, olağandışı etkinlikler için günlükleri izleyin ve güçlü bir güvenlik duruşunu sürdürmek için güvenlik ayarlarınızı gerektiği gibi ayarlayın.
Özel ihtiyaçlarınıza göre uyarlanmış özel VPN çözümleri için, minimum kurulum süresiyle sağlam VPN hizmetlerini çalıştırmak için optimize edilmiş donanım ve önceden yapılandırılmış ortamlar sağlayan TildaVPS'in MikroTik sunucu tekliflerini göz önünde bulundurun.
Sıkça Sorulan Sorular (SSS)
MikroTik yönlendiricim için hangi VPN protokolünü seçmeliyim?
En iyi protokol, özel ihtiyaçlarınıza bağlıdır. L2TP/IPsec çoğu cihazla geniş uyumluluk sunar. OpenVPN, güvenlik ve esneklik arasında iyi bir denge sağlar. WireGuard (RouterOS v7+'da mevcuttur) en iyi performans ve basitliği sunar. Şube ofisleri arasındaki noktadan noktaya bağlantılar için, sağlam güvenliği ve yaygın kurumsal benimsenmesi nedeniyle IPsec genellikle tercih edilen seçimdir.
MikroTik'te VPN bağlantı sorunlarını nasıl giderebilirim?
Özel hata mesajları için günlükleri (Sistem → Günlükler) kontrol ederek başlayın. Güvenlik duvarı kurallarınızın uygun bağlantı noktalarında VPN trafiğine izin verdiğini doğrulayın. OpenVPN gibi sertifika tabanlı VPN'ler için, sertifikaların doğru şekilde imzalandığından ve süresinin dolmadığından emin olun. Bağlantının nerede başarısız olduğunu belirlemek için ping ve traceroute kullanarak bağlantıyı test edin. IPsec için, IP → IPsec → Etkin Eşler'e bakarak güvenlik ilişkilerinin (SA'lar) kurulup kurulmadığını kontrol edin.
Aynı MikroTik yönlendiricide birden fazla VPN sunucusu çalıştırabilir miyim?
Evet, tek bir MikroTik yönlendiricisinde aynı anda birden fazla VPN protokolü çalıştırabilirsiniz. Örneğin, mobil istemciler için L2TP/IPsec, uzak çalışanlar için OpenVPN ve noktadan noktaya bağlantılar için IPsec'e sahip olabilirsiniz. Her hizmetin farklı bir bağlantı noktası kullandığından ve uygun güvenlik duvarı kurallarına sahip olduğundan emin olun. Yönlendiricinizin donanım yeteneklerine dikkat edin, çünkü birçok istemciyle birden fazla VPN hizmeti çalıştırmak CPU yoğun olabilir.
MikroTik yönlendiricimdeki VPN güvenliğini nasıl iyileştirebilirim?
Güçlü şifreleme algoritmaları (AES-256) kullanarak, iki faktörlü kimlik doğrulama uygulayarak, ön paylaşımlı anahtarları ve parolaları düzenli olarak döndürerek, mümkün olduğunda sertifika tabanlı kimlik doğrulama kullanarak, yalnızca gerekli kaynaklara erişimi sınırlamak için katı güvenlik duvarı kuralları uygulayarak ve güvenlik açıklarını yamamak için RouterOS'unuzu en son kararlı sürüme güncelleyerek VPN güvenliğini artırın.
MikroTik yönlendiricim kaç eş zamanlı VPN kullanıcısını destekleyebilir?
Bu, yönlendiricinizin donanım özelliklerine, özellikle CPU gücüne ve mevcut RAM'e bağlıdır. hAP serisi gibi giriş seviyesi modeller 5-10 eş zamanlı kullanıcıyı kaldırabilirken, RB4011 gibi orta seviye modeller 20-30 kullanıcıyı destekleyebilirken, CCR serisi gibi üst düzey modeller 50'den fazla eş zamanlı bağlantıyı kaldırabilir. WireGuard, OpenVPN veya IPsec'ten daha verimli olma eğilimindedir, bu da aynı donanımla daha fazla eş zamanlı bağlantıya izin verir.
MikroTik VPN'ime mobil cihazlardan erişebilir miyim?
Evet, bu rehberde tartışılan tüm VPN protokolleri mobil cihazlardan kullanılabilir. L2TP/IPsec ve IKEv2, iOS ve Android'de yerel desteğe sahiptir. OpenVPN için resmi OpenVPN Connect uygulamasını kullanabilirsiniz. WireGuard'ın her iki platform için de mükemmel mobil uygulamaları vardır. Mobil cihazlar için VPN kurarken, pil ömrünü ve veri kullanımını optimize etmek için bölünmüş tünelleme uygulamayı düşünün.
İnternet kısıtlamaları olan ülkelerde çalışan bir MikroTik VPN sunucusunu nasıl kurabilirim?
Kısıtlayıcı ortamlarda, standart VPN bağlantı noktaları genellikle engellenir. VPN'inizi 443 (HTTPS) veya 53 (DNS) gibi nadiren engellenen yaygın bağlantı noktalarını kullanacak şekilde yapılandırın. OpenVPN için, algılanması daha zor olduğu için UDP yerine TCP kullanın. VPN trafiğini gizlemek için stunnel veya obfsproxy gibi gizleme teknikleri uygulamayı düşünün. WireGuard, herhangi bir bağlantı noktasında çalışacak şekilde yapılandırılabilir, bu da kısıtlamaları atlamak için esnek olmasını sağlar.
Uzaktan erişim VPN'i ile noktadan noktaya VPN arasındaki fark nedir?
Uzaktan erişim VPN'i, bireysel kullanıcıları bir ağa bağlayarak, fiziksel olarak o konumda bulunuyorlarmış gibi kaynaklara erişmelerini sağlar. Bu, uzak çalışanlar veya seyahat ederken ev ağınıza erişmek için idealdir. Noktadan noktaya VPN, tüm ağları birbirine bağlar ve her konumdaki tüm cihazların birbirleriyle iletişim kurmasına olanak tanır. Bu genellikle şube ofislerini genel merkeze bağlamak veya bulut ortamlarına bağlanmak için kullanılır.
MikroTik VPN'ime kimlerin bağlı olduğunu nasıl izleyebilirim?
Gerçek zamanlı izleme için, ilgili VPN bölümündeki etkin bağlantıları kontrol edin (L2TP ve PPTP için PPP → Etkin Bağlantılar, IPsec için IP → IPsec → Etkin Eşler, WireGuard için Arayüz → WireGuard → Eşler). Geçmiş veriler için, bağlantı olaylarını kaydetmek üzere günlük kaydını (Sistem → Günlük Kaydı) yapılandırın. Ayrıca SNMP izleme araçlarını kullanabilir veya bağlantıları izlemek ve raporlar oluşturmak için özel betikler ayarlayabilirsiniz.
VPN erişimini belirli saatlerle veya günlerle kısıtlamak mümkün mü?
Evet, zamanlanmış betikler veya güvenlik duvarı kuralları kullanarak zaman tabanlı kısıtlamalar uygulayabilirsiniz. Yalnızca belirli saatlerde VPN trafiğine izin veren zaman tabanlı güvenlik duvarı kuralları oluşturun. Alternatif olarak, zaman sınırlamalı kullanıcı profilleri kullanın veya bir programa göre VPN hizmetlerini etkinleştiren/devre dışı bırakan özel betikler yazın. Bu, çalışma saatleri erişimini uygulamak veya bakım pencereleri uygulamak için kullanışlıdır.
Ana Çıkarımlar
-
MikroTik yönlendiricileri, L2TP/IPsec, OpenVPN, WireGuard ve IPsec dahil olmak üzere birden fazla VPN protokolünü destekleyerek, özel ihtiyaçlarınız için en iyi çözümü seçme esnekliği sunar.
-
WireGuard (RouterOS v7+'da mevcuttur) en iyi performans ve basitliği sunarken, IPsec noktadan noktaya bağlantılar için sağlam güvenlik sağlar ve L2TP/IPsec en geniş cihaz uyumluluğunu sunar.
-
Doğru güvenlik duvarı yapılandırması VPN güvenliği için çok önemlidir - her zaman yalnızca gerekli VPN trafiğine izin vermek ve ağ kaynaklarınız için uygun erişim kontrollerini uygulamak için özel kurallar oluşturun.
-
Bölünmüş tünelleme, iki faktörlü kimlik doğrulama ve yedekli bağlantılar gibi gelişmiş özellikler, VPN uygulamanızın güvenliğini ve kullanılabilirliğini önemli ölçüde artırabilir.
-
VPN kurulumunuzun düzenli izlenmesi, günlüğe kaydedilmesi ve bakımı, güvenliği sürdürmek ve zamanla güvenilir performansı sağlamak için çok önemlidir.
Sözlük
IPsec (Internet Protokol Güvenliği): Ağ cihazları arasında güvenli şifreli iletişim sağlamak için IP paketlerini doğrulayan ve şifreleyen bir protokol paketidir.
L2TP (Katman 2 Tünelleme Protokolü): VPN'leri desteklemek için kullanılan, genellikle şifreleme için IPsec ile birleştirilen bir tünelleme protokolüdür.
OpenVPN: Anahtar değişimi için SSL/TLS kullanan ve hem UDP hem de TCP üzerinden çalışabilen açık kaynaklı bir VPN protokolüdür.
WireGuard: Performansa ve uygulama kolaylığına odaklanan modern, daha hızlı ve daha basit bir VPN protokolüdür.
Bölünmüş Tünelleme: Bir kullanıcının aynı fiziksel ağ bağlantısı üzerinden farklı ağlara (genel ve özel) aynı anda erişmesine izin veren bir VPN özelliğidir.
Ön Paylaşımlı Anahtar (PSK): VPN bağlantılarında kimlik doğrulama için kullanılan paylaşılan bir sırdır.
Sertifika Yetkilisi (CA): Dijital sertifikalar veren, belirli bir genel anahtarın belirli bir varlığa ait olduğunu doğrulayan bir varlıktır.
MTU (Maksimum İletim Birimi): Tek bir ağ katmanı işleminde iletilebilecek en büyük protokol veri biriminin boyutudur.
NAT Geçişi: Ağ adresi çeviriciler arasında bağlantıları kurma ve sürdürme teknikleridir.
İki Faktörlü Kimlik Doğrulama (2FA): Kullanıcıların kimliklerini doğrulamak için iki farklı kimlik doğrulama faktörü sağladığı bir güvenlik sürecidir.